Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. Blackpoint Cyber araştırmacıları, NVIDIA yazılımı gibi davranarak hedef sistemlere sızan LabubaRAT adlı daha önce belgelenmemiş bir Rust tabanlı uzaktan erişim truva atı (RAT) tespit etti. Bu kötü amaçlı yazılım, özellikle Windows işletim sistemlerini hedef alarak, saldırganlara kalıcı erişim sağlıyor ve çok çeşitli kötü niyetli faaliyetler gerçekleştirmelerine olanak tanıyor.
LabubaRAT, adını komuta ve kontrol (C2) altyapısında kullanılan 'LabubaPanel' başlığından ve bir Labubu temalı favicondan alıyor. Blackpoint Cyber analistleri Sam Decker ve Nevan Beal'e göre, bu RAT 'eller serbest' operasyonlar için yeniden kullanılabilir bir dayanak noktası oluşturuyor. Bir kez dağıtıldığında, ana bilgisayarı profilliyor, güvenlik araçlarını tanımlıyor, operatör komutlarını alıyor, dosyaları taşıyor, ekran görüntüleri yakalıyor ve etkilenen sistem üzerinden trafiği yönlendiriyor.
Bu kötü amaçlı yazılımın en dikkat çekici özelliklerinden biri, HTTPS, WebView2 ve DNS tünelleme dahil olmak üzere birden fazla iletişim yöntemini desteklemesi. Bu sayede saldırganlar, bir iletişim yolu tespit edilip kapatılsa bile, ele geçirilen ana bilgisayarlara erişimi sürdürebiliyor. Ayrıca, LabubuRAT'ın hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında sunulduğuna dair işaretler bulunuyor. Bu, siber suçluların bu aracı kendi saldırı kampanyalarında kullanmak üzere kiralayabileceği anlamına geliyor.
Uzmanların Görüşleri
Saldırı zincirinin başlangıç noktası, 'nvidia-sysruntime.exe' adlı bir yürütülebilir dosya. Bu dosya, NVIDIA'nın konteyner çalışma zamanı araç takımını taklit ediyor. Örnek, komuta ve kontrol (C2) bilgilerini sabit kodlamak yerine, komut satırı argümanları aracılığıyla bir çalışma zamanı yapılandırması kabul ediyor. Bu, kampanya operatörünün sunucu ayrıntıları ('pipicka[.]xyz') ve implant tarafından kullanılan yoklama aralığı gibi uzak sunucuyla iletişim kurmak için anahtar olan çeşitli parametreleri tanımlamasına olanak tanıyor. Alternatif olarak, saldırgan bu bireysel değerleri tek bir Base64 kodlu argüman biçiminde de sağlayabiliyor.
Yapılandırma daha sonra yerel bir SQLite veritabanında saklanıyor. Ardından, ana bilgisayarda yüklü web tarayıcılarını ve güvenlik ürünlerini envanterlemek için keşif işlemleri gerçekleştiriyor. Özellikle Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec ve Trend Micro'nun varlığını kontrol ediyor. Ayrıca, ana bilgisayar adı, RAM boyutu, CPU modeli ve Windows Kullanıcı Hesabı Denetimi (UAC) durumu gibi bilgileri toplayarak ortamı bir sonraki aşamaya hazırlıyor. Sistemde bulunan güvenlik araçları, RAT'ın bazı işlevlerini belirleyebiliyor.
Gelecekte Ne Bekleniyor?
LabubaRAT, başlatıldıktan sonra çok çeşitli işlevleri destekliyor: komut yürütme, PowerShell yürütme, JavaScript yürütme, ekran görüntüsü yakalama, dosya yükleme ve indirme, arşiv işleme ve SOCKS5 proxy desteği. Blackpoint Cyber, bu yeteneklerin operatöre ana bilgisayarla etkileşim kurma, ortama dosya alma ve gönderme, sistem üzerinden trafiği yönlendirme ve ayrı bir yükleyiciye veya dar kapsamlı bir takip aracına ihtiyaç duymadan erişimi sürdürme konusunda yeterli kontrol sağladığını belirtiyor. Bu tehdide karşı korunmak için, güvenlik ekiplerinin NVIDIA yazılımı gibi görünen şüpheli yürütülebilir dosyaları izlemesi, çalışma zamanı yapılandırması kabul eden uygulamalara dikkat etmesi ve ağ trafiğinde HTTPS, WebView2 ve DNS tünelleme gibi alışılmadık iletişim yöntemlerini denetlemesi öneriliyor.
Kaynak: thehackernews.com